当前位置: 首页
科技数码
SSHStalker僵尸网络利用Linux旧内核漏洞控制服务器

SSHStalker僵尸网络利用Linux旧内核漏洞控制服务器

热心网友 时间:2026-02-12
转载

SSHStalker的显著特点是结合了大规模入侵自动化技术与16个影响Linux内核的漏洞利用代码,其中部分漏洞可追溯至2009年。 网络安全研究人员披露了一个名为SSHStalker的新型僵尸网络

SSHStalker的显著特点是结合了大规模入侵自动化技术与16个影响Linux内核的漏洞利用代码,其中部分漏洞可追溯到2009年。

网络安全研究人员披露了一个名为SSHStalker的新型僵尸网络攻击活动细节,该网络依赖互联网中继聊天(IRC)协议实现命令与控制(C2)功能。

网络安全公司Flare表示:“该工具集结合了隐蔽辅助程序与旧版Linux漏洞利用技术:除了日志清理工具(篡改utmp/wtmp/lastlog)和rootkit类组件外,攻击者还保留了大量2009-2010年间针对Linux 2.6.x内核的漏洞利用代码。这些漏洞对现代系统价值有限,但对‘被遗忘’的基础设施和长期遗留环境仍然有效。”

自动化攻击与持久潜伏特性

SSHStalker将IRC僵尸网络机制与自动化大规模入侵操作相结合,通过SSH扫描器和其他现成扫描工具将易受攻击系统纳入网络,并将其注册到IRC频道中。与其他通常利用此类僵尸网络进行分布式拒绝服务(DDoS)攻击、代理劫持或加密货币挖掘的短期攻击活动不同,SSHStalker被发现会维持持久访问权限而不进行后续攻击行为。

这种潜伏特性使其与众不同,表明被入侵基础设施可能被用于攻击准备、测试或战略保留以供未来使用。

技术实现细节

SSHStalker的核心组件是一个Golang扫描器,它会扫描22端口寻找开启SSH的服务器,以蠕虫式传播扩大攻击范围。攻击还会投放多个有效载荷,包括IRC控制bot变体和Perl文件bot,后者会连接至UnrealIRCd服务器,加入控制频道并等待执行洪水流量攻击和控制其他bot的指令。

攻击还通过执行C程序文件清理SSH连接日志,消除恶意活动痕迹以降低取证可见性。此外,该恶意工具包含“保活”组件,确保主恶意进程在被安全工具终止后60秒内重新启动。

\

利用的漏洞与攻击工具库

SSHStalker的显著特点是结合了大规模入侵自动化技术与16个影响Linux内核的漏洞利用代码,其中部分漏洞可追溯到2009年。漏洞利用模块使用的缺陷包括(CVE-2009-2692)、(CVE-2009-2698)、(CVE-2010-3849)、(CVE-2010-1173)、(CVE-2009-2267)、(CVE-2009-2908)、(CVE-2009-3547)、(CVE-2010-2959)和(CVE-2010-3437)等。

Flare对攻击者基础设施的调查发现了大量开源攻击工具和已公开的恶意软件样本,包括:用于实现隐蔽和持久化的rootkit加密货币挖掘程序可执行文件名为“website grabber”二进制文件的Python脚本,用于从目标窃取暴露的亚马逊云服务(AWS)密钥具有C2和远程命令执行功能的IRC bot——EnergyMech

攻击者背景分析

由于IRC频道和配置词表中存在“罗马尼亚式昵称、俚语模式和命名惯例”,研究人员怀疑该攻击活动幕后黑手可能来自罗马尼亚。其操作特征与名为Outlaw(又称Dota)的黑客组织高度重合。

Flare指出:“SSHStalker似乎不专注于新型漏洞利用开发,而是通过成熟的实现和编排展示操作控制能力,主要使用C语言编写核心bot和底层组件,shell脚本负责编排和持久化,Python和Perl仅限用于攻击链中的辅助自动化任务和运行IRCbot。该威胁行为体虽未开发0Day或新型rootkit,但在大规模入侵工作流、基础设施循环利用以及跨异构Linux环境的长期持久化方面展现出强大的操作纪律。”

来源:https://www.51cto.com/article/836403.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
地下室发现尘封12年AMD前CEO旧PC苏姿丰签名推土机硬件

地下室发现尘封12年AMD前CEO旧PC苏姿丰签名推土机硬件

一位技工在客户家地下室发现一台属于AMD前CEORoryRead的旧PC,机箱上留有苏姿丰等高管签名,配置为推土机时代硬件且从未开机。这台电脑封存了AMD从推土机失败到Zen架构崛起的关键转折历史。

时间:2026-07-10 10:06
Laravel 12生态成熟助力全栈开发效率提升

Laravel 12生态成熟助力全栈开发效率提升

Laravel12延续开发体验优势,在项目结构、查询构建、API开发、调试及性能上持续优化。其生态日趋成熟,形成Reverb、Pulse等完整工具链,覆盖API、SaaS、企业后台及AI应用开发。与Next js的组合逐渐流行,Laravel已演变为现代Web开发平台,保持社区活力。

时间:2026-07-10 10:06
Linux内核持续演进:Rust语言与零拷贝网络成新焦点

Linux内核持续演进:Rust语言与零拷贝网络成新焦点

LinuxKernel6 15重大更新:Rust驱动正式入主线,NOVADRM成为首个实践案例;io_uring新增零拷贝网络接收,降低CPU开销与延迟;Btrfs增强实时zstd压缩、DirectIO及稳定性。内核同步推进安全化与高性能网络化。

时间:2026-07-10 10:06
谷歌Gemini进入Agent时代 打造全天候AI助理

谷歌Gemini进入Agent时代 打造全天候AI助理

Google推出GeminiSpark、Omni等新功能。Spark可全天候在后台运行,主动处理邮件、日历等任务;Omni侧重视频理解与环境推理,布局世界模型。AI正从被动回答转向主动观察、规划与执行,标志着竞赛进入新阶段。

时间:2026-07-10 10:05
CPU-Z 2.20.2正式版发布 支持Intel三大平台及AMD锐龙AI Max

CPU-Z 2.20.2正式版发布 支持Intel三大平台及AMD锐龙AI Max

CPU-Z2 20 2正式版发布,新增支持IntelPantherLake、WildcatLake、BartlettLake三大架构及AMD锐龙AIMax、Pro系列,加入锐炫G3识别库,修复缓存错误和锐龙77700X3D检测问题,免费下载。

时间:2026-07-10 10:05
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 热门数据榜